Introducción

La Ley Orgánica, de 13 de diciembre, de Protección de Datos de Carácter Personal 15/1999, más conocida como LOPD está desarrollada por el reglamento aprobado por el Real Decreto 1720/2007.


Objeto

El objeto de la presente ley es regular los derechos de los ciudadanos a que sus datos de carácter personal sean protegidos además del deber de cualquier ciudadano u organismo, que trate dichos datos, de protegerlos.

Las obligaciones o requisitos para poder tratar con datos personales son:
  1. El ciudadano ha de dar su consentimiento sobre el almacenamiento y uso de sus datos personales. Este ha de ser libre, específico, informado e inequívoco.
  2. Notificar a la Agencia Española de Protección de Datos de la recepción de archivos con datos de carácter personal así como todas las modificaciones que en estos se produzcan.
  3. Los datos recogidos tienen que estar protegidos a nivel físico y/o lógico en lugar seguro, al que solo podrá acceder el personal autorizado.
  4. Dichos datos no pueden ser usados más que para lograr el fin del organismo, que no podrá ser fraudulento ni ilícito.
  5. La persona implicada tiene derecho a estar informada sobre sus datos registrados siempre que lo solicite. Así como de solicitar su modificación o eliminación.

Ámbito de aplicación

En España

Artículo 2 de la LOPD:
"[...]Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito[...]".

Es decir, has de cumplir con la legislación española si estás situado en España, si tu servidor (u otros medios) están en España, o si la legislación internacional así lo indica.

Fuera de España

La ley no indica nada sobre lo que ocurre cuando los datos requeridos no son para empresa española o situada en España, por lo que se entiende que, salvo que las disposiciones internacionales digan otra cosa, serán de aplicación las leyes a las que esté sujeta dicha empresa.

Safe harbor o puerto seguro

Un safe harbour son un conjunto de especificaciones que indican que una acción no viola las normas legales establecidas. Es decir, son pautas de conductas que ayudan a aplicar las leyes que aplicado a la protección de datos de carácter personal da como resultado, a nivel de la Unión Europea, la Directiva 95/46 CE sobre la protección de datos personales de personas físicas.

Este safe harbor lo que hace es proteger los datos personales en contextos fuera de la Unión Europea y para ello exige 7 principios de privacidad:
  1. Notice: informar al usuario de los motivos de captación de sus datos personales.
  2. Choice: el interesado a de consentir en la trata de sus datos personales y uso por terceros.
  3. Transfers to third parties: para derivar datos a terceros, estos han de cumplir también con la normativa safe harbor.
  4. Access: el interesado ha de poder acceder a su información para consultarla o modificarla.
  5. Security: el sistema ha de incluir herramientas técnicas de seguridad para proteger los datos.
  6. Data Integrity: asegurar la integridad y fidelidad de los datos.
  7. Enforcement: hay que disponer de mecanismos de resolución de conflictos y verificación de que cumple la normativa safe harbor.

Definiciones

La ley trabaja con las siguientes definiciones recogidas en el artículo 3 de la misma:

  • Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  • Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  • Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
  • Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
  • Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  • Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  • Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
  • Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.

Datos especialmente protegidos

Según el artículo 16.2 de la Constitución española nadie puede ser obligado a declarar sobre su ideología, religión y creencias. Esto hace que dichos datos, además de la sexualidad o filiación sindical puedan ser recabados, pero pudiendo siempre el interesado negarse a darlos.lopd.jpg

En cuanto a los datos sobre la salud, origen racial y vida sexual están sometidos a las mismas condiciones, salvo que, en base al interés general, también pueden ser recabados por una disposición o ley, además de con el consentimiento del interesado.

Los datos relativos a infracciones penales o administrativas solo podrán ser gestionados por la propia Administración Pública.

Sistema NOTA para la aplicación de la LOPD

Para aplicar la LOPD la propia AGDP nos facilita el sistema NOTA (NOtificación Telemática a la Agpd) aprobado en el 2006 y publicado en el BOE y gratuito. Dicho sistema proporciona ficheros y medios para añadir, modificar o suprimir información, es decir, gestionar de forma completa todos los datos de carácter personal con que trabaje nuestra empresa y así cumplir en todo momento con las exigencias y requisitos de la Ley.

Hay tres formas posibles de presentar los datos ante la AEPD (AGPD):
  1. Formato papel.
  2. Formato telemático, con posibilidad de incluir firma electrónica.
  3. Formato XML con o sin firma electrónica. A través de un sistema de comunicación con la AEPD para quienes implementen sus propios programas para el control de datos.

Manual de uso de los formularios de titularidad pública.
Manual de uso de los formularios de titularidad privada.

Uso de los datos por terceros

El uso de los datos por terceras personas o entidades no está permitido salvo que sea necesario por razones del servicio. Dicho acceso ha de estar regulado por contrato y los datos suministrados tienen que ser devueltos o destruidos una vez finalice dicho servicio.

Si los datos no son correctamente usados, también será considerado responsable y responderá con la correspondiente sanción.

Sanciones

El incumplimiento de las obligaciones de la ley conlleva una sanción económica. Estas pueden ser:
  • Leves (hasta 40 000€).
  • Graves (hasta 300 000€).
  • Muy graves (hasta 600 000€).

Legislación

Vigente

Derogada

Modificaciones

Cuadro Resumen Comparado Antigua Lopd y Nueva Lopd by dsoto913



¿Subcontrato o yo me encargo?

Cumplir la LOPD: ¿lo hago yo mismo o subcontrato un consultor LOPD? by Iñaki Fernández




Resumen

Resumen LOPD by katuat



Webgrafía

BOE, URL http://www.boe.es/

González, Pedro Jesús. ¿Cómo cumplir las leyes LOPD Y LSSICE?, URL http://acordarme.de/como-cumplir-las-leyes-lopd-y-lssice/

Agencia Española de Protección de Datos, URL http://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Wikipedia, Agencia Española de Protección de Datos, URL http://es.wikipedia.org/wiki/Agencia_Espa%C3%B1ola_de_Protecci%C3%B3n_de_Datos

Wikipedia, Ley Orgánica de Protección de Datos de Carácter Personal, URL http://es.wikipedia.org/wiki/LOPD

Agencia Española de Protección de Datos, Sistema NOTA, URL https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/index-ides-idphp.php

Wikipedia, Safe Harbor, URL http://es.wikipedia.org/wiki/Safe_harbor

Audea - Seguridad de la información, Safe Harbor vs LOPD, URL http://www.audea.com/safe-harbor-vs-lopd/